一、基础问题回答

（1）总结一下监控一个系统通常需要监控什么、用什么来监控。

通常监控以下几项信息：

• 注册表信息的增删添改
• 系统上各类程序和文件的行为记录以及权限
• 实现网络连接的进程，使用的IP地址和端口号等

用以下软件工具来监控：

• TCPview工具查看系统的TCP连接信息
• wireshark进行抓包分析，查看网络连接
• sysmon用来监视和记录系统活动，并记录到windows事件日志，提供文件、进程等的详细信息

（2）如果在工作中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

• 使用tcpview工具检测有哪些程序在进行网络连接
• 使用PE解析软件查看可疑进程的详细信息，查看其是否加壳，分析调用的DLL及其函数用途
• 去专业网站扫描可疑进程，查看测评分数与信息
• 使用快照分析进程对系统做了哪些改变，新增文件
• 使用抓包软件分析进程网络连接传输的数据
• 使用Dependency Walker来分析是否有关于注册表的异常行为等。

20145310《网络对抗》恶意代码分析